Nicht Firebase-Ressourcen in Web-Apps mit App Check schützen

Sie können mit App Check auch nicht Firebase-Ressourcen Ihrer App wie selbst gehostete Backends schützen. Dazu müssen Sie Folgendes tun:

  • Ändern Sie Ihren App-Client so, dass er mit jeder Anfrage ein App Check-Token an Ihr Backend sendet, wie auf dieser Seite beschrieben.
  • Ändern Sie Ihr Back-End so, dass für jede Anfrage ein gültiges App Check-Token erforderlich ist. enthalten, wie unter App Check-Tokens aus einem benutzerdefinierten Back-End überprüfen beschrieben.

Hinweis

Fügen Sie Ihrer App App Check hinzu. Verwenden Sie dazu entweder die reCAPTCHA Enterprise-Anbieter oder einen benutzerdefinierten Anbieter.

App Check Tokens mit Backend-Anfragen senden

Rufen Sie im App-Client vor jeder Anfrage einen gültigen, nicht abgelaufenen App Check ab. Token mit appCheck().getToken(). Die App Check-Mediathek wird aktualisiert: Token.

Wenn Sie ein gültiges Token haben, senden Sie es zusammen mit der Anfrage an Ihr Back-End. Wie Sie dies genau erreichen, liegt in Ihrer Entscheidung. Senden Sie App Check-Tokens jedoch nicht als Teil von URLs, einschließlich in Abfrageparametern, da sie dadurch anfällig für versehentliches Leck und Abfangen sind. Die folgenden wird das Token in einem benutzerdefinierten HTTP-Header gesendet. Dies ist die empfohlene Ansatz.

Web

import { initializeAppCheck, getToken } from 'firebase/app-check';

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};

Web

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};

Replay-Schutz (Beta)

Wenn du eine Anfrage an einen Endpunkt sendest, für den du den Replay-Schutz aktiviert hast, musst du ein Token mit getLimitedUseToken() statt getToken() abrufen:

import { getLimitedUseToken } from "firebase/app-check";

// ...

appCheckTokenResponse = await getLimitedUseToken(appCheck);